Say hello

    Happy Parrots - Meta Business Partners & Hubspot Certified Partner

    Biznes RODO

    6 kluczowych postanowień RODO

    Rafał Golan | 25 września, 2023

    RODO to jak dotąd najbardziej kompleksowe rozporządzenie dotyczące ochrony danych i prywatności. Ustanawia ono precyzyjne zasady gromadzenia, przekazywania, przetwarzania i przechowywania danych osobowych. Rozporządzenie przyznaje również obywatelom UE pewne prawa i ochronę w odniesieniu do ich danych osobowych. Oto sześć kluczowych artykułów RODO i ich wpływ na witrynę internetową oraz procedury przetwarzania danych.


    1. Prawa osób fizycznych

    RODO przyznaje konsumentom znaczne prawa w odniesieniu do ochrony ich danych osobowych. Prawa te obejmują przede wszystkim ograniczenie gromadzonych danych, kontrolę sposobu ich wykorzystywania i przechowywania oraz dostęp do danych w celu ich zmiany, przeniesienia lub usunięcia.

    Artykuł 6 RODO stanowi, że przetwarzanie danych osobowych osoby, której dane dotyczą, jest zgodne z prawem tylko w określonych okolicznościach w tym, gdy osoba fizyczna wyrazi zgodę na przetwarzanie danych osobowych w określonym celu.

    Kwestia uzyskiwania zgody od osób, których dane dotyczą, przed przetwarzaniem ich danych jest bardzo ważna. Zgodnie z RODO nie można zakładać, że obywatele UE wyrażają zgodę na gromadzenie danych osobowych tylko dlatego, że odwiedzają witrynę internetową lub korzystają z aplikacji. Musisz przedstawić użytkownikom opcję aktywnego wyrażenia zgody na gromadzenie i wykorzystywanie ich danych, jeśli zdecydujesz się użyć zgody jako zgodnej z prawem podstawy przetwarzania.

    Artykuł 6 – Zgodność przetwarzania z prawem

    “1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

    a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

    b)  przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

    c)  przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

    d)  przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

    e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;f)  przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.”

    Dobrym pomysłem jest korzystanie z banerów, wyskakujących okienek, pól wyboru i innych podobnych metod informowania użytkowników o informacjach, które zamierzasz gromadzić, i umożliwienie im wyrażenia zgody lub odmowy.

    Należy przechowywać elektroniczny zapis dokonanego wyboru, opatrzony datą i zapewniający łatwy sposób wycofania zgody.

    Artykuł 15, Prawo dostępu osoby, której dane dotyczą, wymaga, aby użytkownicy witryny mieli łatwy dostęp do swoich danych po ich zebraniu. Użytkownicy muszą mieć możliwość poprawienia swoich danych lub zażądania ich elektronicznej kopii, którą należy dostarczyć w ciągu 30 dni w większości przypadków lub 60 dni, jeśli dane są szczególnie złożone.

    Artykuł 15 – Prawo dostępu przysługujące osobie, której dane dotyczą

    “1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

    a)  cele przetwarzania;

    b)  kategorie odnośnych danych osobowych;

    c)  informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

    d)  w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

    e)  informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

    f)   informacje o prawie wniesienia skargi do organu nadzorczego;

    g)  jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;”

    Jeśli Twoja firma przetwarza ich dane osobowe, musisz zapewnić użytkownikom dostęp do ich danych osobowych i poinformować ich, dlaczego przetwarzasz ich dane, jakie rodzaje danych osobowych są przetwarzane, kim są odbiorcy danych i jak długo dane będą przechowywane. Musisz także wiedzieć, jak reagować, gdy użytkownicy korzystają ze swoich praw.

    RODO daje również osobom, których dane dotyczą, prawo do ograniczenia przetwarzania ich danych osobowych. Oznacza to, że użytkownik może nakazać zaprzestanie przetwarzania lub udostępniania jego informacji, nawet jeśli wcześniej wyraził zgodę na metody przetwarzania danych.

    Zgodnie z art. 18 osoba, której dane dotyczą, ma prawo do ograniczenia przetwarzania danych przez Twoją firmę, jeśli jej dane osobowe są niedokładne, przetwarzanie jest niezgodne z prawem, Twoja firma nie potrzebuje już takich danych lub osoba, której dane dotyczą, sprzeciwia się przetwarzaniu.

    Artykuł 20, Prawo do przenoszenia danych, daje obywatelom UE prawo w takich przypadkach do poinstruowania Cię, abyś przekazał ich dane innemu podmiotowi danych bez jakiejkolwiek ingerencji z Twojej strony. Oznacza to, że obywatel UE może polecić przekazanie swoich danych swojemu konkurentowi lub innemu wybranemu przez siebie podmiotowi, a Ty musisz spełnić to żądanie.

    Artykuł ten daje również obywatelom UE prawo do zażądania kopii swoich danych. Jeśli to zrobią, musisz dostarczyć dane na żądanie w powszechnie używanym formacie elektronicznym, aby konsument mógł odczytać dane lub przesłać je do innego podmiotu w celu ich odczytania. Zazwyczaj obejmuje to niektóre popularne typy plików, takie jak plik .csv lub arkusz kalkulacyjny .xls.

    Ponadto art. 21, Prawo do sprzeciwu, daje osobom, których dane dotyczą, prawo do poinstruowania Cię, abyś ograniczył przetwarzanie ich danych z jednego z kilku dopuszczalnych powodów, takich jak cele marketingowe lub profilowanie.

    O ile nie istnieje nadrzędna potrzeba prawna lub biznesowa, aby odmówić osobie, której dane dotyczą, przetwarzania jej danych, należy zastosować się do jej żądania. Przykładowo, jeśli zbierasz adresy e-mail do marketingu e-mailowego lub numery telefonów komórkowych do marketingu SMS-owego, musisz umożliwić użytkownikom aktywne wyrażenie zgody na te metody marketingowe i zapewnić im łatwy sposób rezygnacji w dowolnym momencie. Niezastosowanie się do tego wymogu narusza prawo do sprzeciwu. Co więcej, musisz poinformować osoby, których dane dotyczą, o ich prawie do sprzeciwu i musisz to zrobić przed przetwarzaniem ich danych.

    W przypadkach, gdzie osoby, których dane dotyczą, uważają, że ich dane osobowe są niedokładne lub niekompletne, art. 16 daje im prawo do ich sprostowania. Wniosek o sprostowanie musi zostać zrealizowany w terminie 30 dni lub krótszym od daty złożenia wniosku. W przypadku złożonego wniosku termin ten może zostać przedłużony do dwóch miesięcy

    2. Prawo do informacji

    Motyw 58 RODO wymaga, abyś dostarczał obywatelom UE szczegółowe informacje na temat sposobu wykorzystywania ich danych osobowych. Jest to określane jako zasada przejrzystości, co oznacza, że ciężar informowania konsumentów o ich prawach i sposobie wykorzystywania ich danych spoczywa na Tobie.

    Musisz ułatwić swoim użytkownikom znalezienie Polityki Prywatności i jej zrozumienie. Zawsze pisz swoją Politykę prostym językiem, który przeciętny użytkownik może zrozumieć.

    Aby spełnić te wymagania, należy umieścić link do Polityki prywatności w widocznym miejscu.

    Im więcej zrobisz, aby poinformować użytkowników o swoich metodach przetwarzania danych, tym lepiej będziesz w stanie zapewnić zgodność z obowiązkami RODO w zakresie ochrony praw użytkowników do informacji.

    3. Prawo do usunięcia danych (“prawo do bycia zapomnianym”)

    Artykuł 17, Prawo do usunięcia danych (prawo do bycia zapomnianym), określa wiele okoliczności, w których obywatele UE mogą nakazać usunięcie swoich danych.

    Artykuł 17 – Prawo do usunięcia danych („prawo do bycia zapomnianym”)

    “1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

    a)  dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

    b)  osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;

    c)  osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;

    d)  dane osobowe były przetwarzane niezgodnie z prawem;

    e)  dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;f)   dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.”

    RODO daje osobom, których dane dotyczą, prawo do usunięcia ich danych osobowych w wielu okolicznościach, w tym:

    • x gdy ich dane osobowe nie są już potrzebne do celu, w jakim zostały pierwotnie zebrane
    • x gdy wycofają zgodę
    • x jeśli sprzeciwiają się przetwarzaniu ich danych
    • x jeśli dane osobowe zostały przetworzone niezgodnie z prawem
    • x jeśli dane osobowe muszą zostać usunięte w celu spełnienia obowiązku prawnego.

    4. Inspektor ochrony danych (IOD)

    Konieczne może być wyznaczenie inspektora ochrony danych (DPO), który pomoże nadzorować zgodność z RODO. Inspektor ochrony danych będzie odpowiedzialny za monitorowanie zgodności oraz wewnętrznych systemów i personelu odpowiedzialnego za przetwarzanie danych.

    Jeśli przetwarzasz dane na dużą skalę, prawdopodobnie będziesz musiał wyznaczyć wykwalifikowanego inspektora ochrony danych, który będzie nadzorował procedury przetwarzania danych. Musisz również wspierać ciągłe kształcenie tego specjalisty, aby być na bieżąco z wymogami zgodności z RODO.

    5. Obowiązki podmiotów przetwarzających dane

    Obowiązki podmiotów przetwarzających dane są określone w art. 28. Podmioty przetwarzające dane są zobowiązane do przetwarzania danych zgodnie z wymogami administratora danych. Wymogi te należy określić w umowie między administratorem danych a podmiotem przetwarzającym.

    Podmioty przetwarzające dane są zobowiązane do wdrożenia odpowiednich środków organizacyjnych i technicznych w celu zabezpieczenia danych osobowych podczas ich przetwarzania. Muszą również uczestniczyć we wszelkich audytach zgodności.

    6. Ocena skutków dla ochrony danych

    Bezpieczeństwo danych ma kluczowe znaczenie dla RODO. Ochrona danych w celu zapobiegania naruszeniom danych oraz szybkie i odpowiednie reagowanie w przypadku naruszenia danych są wymogami rozporządzenia.

    Tam, gdzie prawa i wolności osób, których dane dotyczą, są narażone na wysokie ryzyko, organizacje muszą przeprowadzić ocenę ochrony danych, aby spełnić wymagania dotyczące ochrony danych przed wszelkiego rodzaju naruszeniami.

    Motyw 85

    (85) Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

    Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych.

    Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.

    Zgodnie z RODO naruszenie danych osobowych osoby, której dane dotyczą, może potencjalnie prowadzić do szkód fizycznych, materialnych lub niematerialnych, jeśli nie zostanie podjęte w odpowiednim czasie. Z tego powodu użytkownik jest zobowiązany do poinformowania organu nadzorczego o każdym naruszeniu, gdy tylko się o nim dowie.

    Najważniejsze rzeczy do zapamiętania:

    • 1. Ogólne rozporządzenie o ochronie danych (RODO) to kompleksowe rozporządzenie, które określa szczegółowe zasady dla firm internetowych, które zbierają dane osobowe od obywateli UE. Wymaga ono zamieszczenia w witrynie Polityki prywatności, która określa sposób gromadzenia, przekazywania, przetwarzania, przechowywania i ochrony danych osobowych obywateli UE.
    • 2. Pracownicy muszą poznać swoje role i obowiązki, aby zachować zgodność z nowym rozporządzeniem.
    • 3. RODO daje obywatelom UE pewne prawa i przywileje dotyczące ich danych osobowych, a Ty jesteś zobowiązany do przestrzegania tych praw.
    • 4. Konieczne może być wyznaczenie inspektora ochrony danych (DPO) w celu nadzorowania zgodności z RODO, jeśli przetwarzasz określone typy lub duże ilości danych od obywateli UE.
    • 5. Nowe przepisy zmienią sposób gromadzenia, przetwarzania i przekazywania prywatnych informacji obywateli UE. Może to wymagać wprowadzenia pewnych zmian w witrynie lub aplikacji, takich jak dodanie pól zgody w miejscach, w których gromadzone są dane osobowe, oraz linków umożliwiających użytkownikom przeglądanie Polityki prywatności, edycję ustawień osobistych lub rezygnację z wcześniej wyrażonej zgody.

    Zostaw komentarz

    Twój adres nie zostanie opublikowany. Wymagane pola są oznaczone *

    Newsletter

    Zapisz się do newslettera by otrzymywać zaawansowane treści dla doświadczonych marketerów!



      * Wyrażam zgodę na otrzymywanie od Happy Parrots sp. z o.o informacji o aktualnościach i promocjach na podany adres e-mail. Więcej informacji w polityce prywatności tutaj

      This will close in 0 seconds